پاورپوینت توسعه امن نرم افزار - تــســت نـفـــوذ

بخشی از پاورپوینت

اسلاید 1 :

بسمه تعالی

توسعه امن نرم افزار
تــســت نـفـــوذ

اسلاید 2 :

مطالب این جلسه
مرور تکـ صفحهای جلسه قبلـ
مباحثــ تــسـت نــفـــوذ
معرفـی تست نفــوذ
مراحلـ تست استاندارد
ابزارهای تست
نــتیجهگــــیری

اسلاید 3 :

تست نفوذ
هرگزپختن املت بدون شکستن تخممرغها ممکن نیست

اسلاید 4 :

تعریف
تست نفوذ چیست؟
رویه ارزیابی امنیت برنامه از طریق شبیهسازی حملات از طرف حملهکنندگان بیرونی یا درونی (با سطوح دسترسی متفاوت انتسابی یا اکتسابی آنان)*


به تعریف توجه کنید! بیشتر منابع موجود در زمینه تست نفوذ، تنها به جنبههای امنیت شبکهای و تست برنامههای تحت وب توجه میکنند.
*http://www.isaca.org/Pages/Glossary.aspx?tid=651&char=P

اسلاید 5 :

تفاوت تست نفوذ با تست کارکردی برنامه
تست کارکردی معمولا به دنبال ویژگیهای عملکرد صحیح برنامه بر اساس کارکردهای تعیین شده است
ولی، امنیت نرمافزار یک یا چند کارکرد یا ویژگی نیست
حتی اگر در برنامه کارکردهای امنیتی مثل رمزنگاری و . داشته باشیم<<<< اغلب آسیبپذیریها مستقیما به این کارکردها مربوط نیستند<<< به سوء استفاده حملهکننده از کارکردها باز میگردند.
تست کارکردی<<<< تست مثبتها (وجود کارکردها)
تست نفوذ <<<< تست منفیها (عدم وجود حفرههایی که الزاما در کارکرد خاصی نمی گنجند)

اسلاید 6 :

در هر زمینهای تست منفیها چالش بزرگتری از تست مثبت هاست
چند تست لازم است تا بتوان گفت که این سیستم به حد کافی تحت حمله امن است؟!
اگر تست منفیها هیچ خطایی را نشان دهد تنها به معنای نبود خطا تحت یک تست خاص است و به هیچ وجه به معنای نبود کلی خطا نیست

اسلاید 7 :

آسیبپذیریهای هدف
تولد آسیبپذیری در 3 مرحله کلی حیات نرمافزار :
تعریف ویژگیها و طراحی
کشف عیوب طراحی دشوار بوده و در جلسه گذشته و آینده بدان پرداخته شده و میشود
توسعه
به دلیل پیادهسازی نادرست و یا نامطلوب رخ داده است
بهکارگیری در محیط عملیاتی
به دلیل تنظیمات پیشفرض و یا مستندسازی نادرست برای به کارگیری امن نرمافزار رخ داده است .

اسلاید 8 :

تست نفوذ نیازمند هر دو کلاه :
کلاه سفید برای اطمینان از عملکرد درست کارکردهای امنیتی برنامه
کلاه سیاه برای اطمینان از عدم نفوذ حملهکننده به کل برنامه یا سیستم

اسلاید 9 :

وضعیت فعلی
در توسعههای فعلی نرمافزار به ندرت نیازمندیهای امنیتی، سناریوهای سوء کاربرد، دانش ریسکهای امنیتی و نیز الگوهای حملات در طراحی مورد توجه قرار می گیرد.
تست نیز همین وضعیت را دارد.
در نتیجه :
یافتههای امنیتی قائم به شخص بوده و در میان تیمهای مختلف و در طول زمان قابل تکرار نیستند.
با این وضع در عمل تست نفوذ تنها بخش کوچکی از ریسکهای امنیتی موجود را می یابد.
نتیجه نهایی<<< القای امنیت دروغین به نرمافزارهایی که امنیت نداشته اند..

اسلاید 10 :

مراحل تست نفوذ
بر اساس استاندارد PTES
Penetration Testing Execution Standard
اقدامات پیش از درگیری اولیه
جمعآوری اطلاعات
مدسازی تهدید
تحلیل آسیبپذیری
اکسپلویت نمودن آسیب پذیری
انجام عملیات بعد از اکسپلویت
گزارشدهی

اسلاید 11 :

اقدامات پیش از درگیری
فراهم سازی ابزارهای عمومی نفوذ
ابزارهای خاص بسته به نوع و عمق نفوذ
در بخش بعد به تفصیل به ابزارها خواهیم پرداخت

اسلاید 12 :

جمعآوری اطلاعات
یک حملهکننده به چه اطلاعاتی نیاز دارد و آنها را از چه منابعی خواهد یافت؟
مکانیابی فیزیکی
مکانیابی مراکز داده
جمعآوری اطلاعات درباره کارکنان سازمان از منابع باز
ایمیلها و ارتباطات درونسازمانی
اسکن پورتهای باز
اطلاعات DNS
شنود فیزیکی بیسیم و با سیم در جستوجوی کلیدها و ..
جستوجوی اطلاعات SNMP
VoIP mapping
شناسایی سیستمها، سیستم عاملها، نسخه برنامههای کاربردی و سرورها
انبوه ابزارهای غیرقابل باور در
هر حوزه!
قابل بحث در Mailing list درس در صورت تمایل به اطلاعات بیشتر

اسلاید 13 :

تحلیل آسیبپذیری
تست آسیبپذیری
فعالانه : سریعتر و مطمئنتر اما با ریسک بیشتر باقی گذاشتن نشانه
ابزارهای پویش آسیبپذیری و Fuzzing
منفعلانه: ریسک و نتیجه کمتر
ابزارهای شناسایی نوع سیستم مثل P0f، ابزارهای ثبت ترافیک مثل Wireshark
تایید آسیبپذیری
پیداکردن کد یا منابع لازم و تایید انجامپذیری اکسپلویت
تعیین راههای حمله
تهیه درخت حمله
شناسایی مکانیزمهای حفاظتی (در سطح شبکه و سیستم)

اسلاید 14 :

گزارشدهی
گزارش در سطح مدیران اجرایی
اثرات تجاری
به همراه گزارش اولویتدهی ریسک
گزارش فنی
شناسایی موارد سیستماتیک و تحلیل فنی ریشه آسیب پذیری
یافتههای فنی
توضیحات
صفحه تصویرها(Screenshot)!
ارسال و دریافتهای صورت گرفته
مثالهایی برای اثبات مفهموم (PoC)
نتایج قابل تکرار
موارد آزمون
ماشههای خطا
قابلیتهای رصد و پاسخگویی به واقعه (Incident Response)
اطلاعات جمع آوری شده
تحلیل آْسیبپذیری و اکسپلویتها
معیارهای تست نفوذ
اثرات باقیمانده
موارد متداول
متدولوژی
اهداف
حوزه
خلاصه یافتهها
پیوستی از اولویتبندی ریسک

اسلاید 15 :

یک فرمت نمونه گزارشدهی(خلاصهگزارش)
لوگوی سازمان تستکننده
یادآوری محرمانگی و حفظ مسائل حریم خصوصی (در متن گزارش اصلی نیز بایست اشاره شود)
نیاز به خلاصه برای مدیران اجرایی که احتمالا قدم به قدم اعمال تست برایشان چندان جالب توجه نیست
مهمترین بخش گزارش که باید به دقت نگاشته شود

اسلاید 16 :

انجام عملیات بعد از اکسپلویت
اقداماتی که بعد از اکسپلویت بایست انجام شود
جمع آوری اطلاعات احتمالی مورد نیاز (فایلها، پیکربندیها و .)
پاک کردن اطلاعات ممیزی(log)
غیر فعال کردن نرمافزارهای حفاظتی
جمعآوری درهم شده (hash) کلمات عبور یا خود آنها
اجرای برنامههای مورد نظر
.

اسلاید 17 :

مرور ابزارها ی تست نفوذ
هدف از این بخش تنها آشنایی با رویکردهای مختلف موجود در ابزارهاست و نه آموزش نحوه کارکرد آنها

اسلاید 18 :

کیفیت ابزارهای استفاده شده در تست نفوذ تا حد زیادی می تواند کیفیت تست را هم تحت تاثیر قرار دهد.
وجود ابزار برای مراحل مختلف و انواع تست علیه حملات گوناگون
هرچند در اکثر منابع<<< معرفی ابزارهای تست نرمافزار تحت وب
محل بروز حملات مختلف علیه سیستم نرمافزاری

اسلاید 19 :

فوائد استفاده از ابزار:
خودکار کردن اکثر رویههای مورد نیاز در تست
تولید خروجی قابل استفاده برای محاسبه معیارهای کنترلی
توجه! ابزار هیچگاه جایگزین مرور یک تحلیلگر امنیتی ماهر نمی شود.
مخصوصا اینکه ابزارهای موجود ذاتا به سطح طراحی قابل اعمال نیستند.

اسلاید 20 :

ابزارهای تست برنامه تحت وب
غالبا نام این ابزارها را به عنوان ابزار تست نفوذ خواهید شنید<<<لازمـــ ولی ناکافـــی
ابزار های شناسایی شبکه به صورت برون خط و ابزارهای نگاشت توپولوژی شبکه
ابزارهای پویش آسیبپذیری acunetix
ابزارهای اخذ ترافیک وب مثل ieinspector
رویکرد Continuous Dynamic Application Security Testing محصول Cenzic برای تست Cloud, Mobile و برنامههای تحت وب